F001-P000-GTI Matriz Identificacion Riesgos SI

TIPO DE ACTIVO
ID
PROCESO
001
Gestin de Empleo, Orientacin Ocupacional y Empleabilidad
Oficinas
002
Gestin de la Innovacin y la Competitividad
003
Gestin del Talento Humano
004
Gestin de Tecnologias de la Informacin
Sistema de Informacin
005
Gestin de Formacin Profesional Integral
006
Gestin de Emprendimiento y Empresarismo
007
Gestin de Recursos Financieros
008
Gestin Documental
009
Gestin de Comunicaciones
010
Gestin por Competencias para las Cualificaciones
011
Direccionamiento Estratgico
012
Relacionamiento Empresarial y Gestin del Cliente
013
Gestin de Evaluacin y Control
014
Gestin de Infraestructura y Logistica
015
Gestin de Contratacin y Convenios
TIPO DE RIESGO
DECRIPCION DEL ACTIVO
Informacin de Gestin, Planeacin, operacin y seguimiento de los servicios TIC, gestin de mesa de R14. Destruccin, prdida, extravo, robo, servicio, supervisin de los contratos dao o alteracin de informacin en 646 y 649 y la gestin a la mejora continua de todos los servicios TIC del medio fsico o lgico. Complejo Tecnolgico para la Gestin Agroempresarial
SERVICIO NACIO SISTEMA IN
PROCESO GESTION D
MATRIZ DE IDENTIFICACIN Y VALORACI
FUENTE O AGENTE GENERADOR (Amenaza)
CAUSA (Vulnerabilidad)
Ataques contra el sistema (negacin del Ausencia de sistemas y/o procedimientos servicio, manipulacin de software, de monitoreo de los recursos de manipulacin de equipo informtico procesamiento de informacin. entre otros)
SERVICIO NACIONAL DE APRENDIZAJE SENA SISTEMA INTEGRADO DE GESTIN PROCESO GESTION DE TECNOLOGIAS DE INFORMACION
Z DE IDENTIFICACIN Y VALORACIN DE RIESGOS DE SEGURIDAD DE LA INFORMACION

CALIFICACIN DEL RIESGO
PROBABILIDAD IMPACTO Financiero
DESCRIPCIN DEL RIESGO
ATRIBUTO AFECTADO
Probable
Crtico
Casi.Seguro
Crtico
Probable
Crtico
La Informacin del complejotecnolgico para la gestin agroempresarial esta expuesta a ataques informticos que la pueden alterar, destruir y borrar causando traumas al normal desempeo de los usuarios
Integridad
Probable
Moderado
10
Probable
Moderado
Casi.Seguro
Moderado
Probable
Crtico
Probable
Crtico
Probable
Moderado
Raro
Crtico
Casi.Seguro
Crtico
Casi.Seguro
Crtico
Probable
Moderado
Raro
Crtico
Probable
Moderado
LA INFORMACION
Reputacional Regulatorio/Legal Operacional
ICACIN DEL RIESGO EVALUACIN RIESGO INHERENTE CONTROL EXISTENTE ANEXO A NTC-ISO 27001
40
60
40
10
10
10
20
20
30
40
40
20
20
60
60
20
20
20
Versin: Fecha: Cdigo:

VALORACION DE CONTROLES EVALUACIN CONTROL
EFECTIVIDAD (En el tiempo que lleva el control ha demostrado ser efectivo)
NUEVA CALIFICACIN DEL RIESGO PROBABILIDAD
TIPO
NATURALEZA
OFICIALIDAD
CUBRIMIENTO
Probable
Probable
Probable
Probable
Probable
Probable
Probable
Probable
Probable
Probable
Probable
Probable
Probable
Probable
Probable
1 8/9/2013 F001-P000-GTI
NUEVA CALIFICACIN DEL RIESGO IMPACTO EVALUACIN RIESGO RESIDUAL
Crtico
40
Crtico
40
Crtico
40
Crtico
40
Crtico
40
Crtico
40
Crtico
40
Crtico
40
Crtico
40
Crtico
40
Crtico
40
Crtico
40
Crtico
40
Crtico
40
Crtico
40
PLAN DE ACCION
RIESGOS QUE REQUIEREN PLAN DE ACCION
ID RIESGO
PROCESO
TIPO DE ACTIVO
001 002
Gestin de Empleo, Orientacin Ocupacional y Empleabilidad Gestin de la Innovacin y la Competitividad
Oficinas 0
003
004
005
Gestin de Formacin Profesional Integral Gestin de Emprendimiento y Empresarismo
006
007
008
Gestin Documental
009
010
011 012 013 014 015 016 017 018
Direccionamiento Estratgico Relacionamiento Empresarial y Gestin del Cliente Gestin de Evaluacin y Control Gestin de Infraestructura y Logistica Gestin de Contratacin y Convenios #N/A #N/A #N/A
0 0 0 0 0 #N/A #N/A #N/A
019
#N/A
#N/A
020
#N/A
#N/A
NOMBRE DEL ACTIVO
RIESGO
0 0
0 0
Informacin de Gestin, Planeacin, operacin y seguimiento de los servicios TIC, gestin de mesa de servicio, supervisin de los 0
R14. Destruccin, prdida, extravo, robo, dao o alteracin de informacin en medio fsico o lgico.
0 0 0 0 0 #N/A #N/A #N/A
0 0 0 0 0 #N/A #N/A #N/A
#N/A
#N/A
#N/A
#N/A
DESCRIPCION DEL RIESGO
CAUSA
C o l u m n
0 0
0 0
La Informacin del complejotecnolgico para la gestin agroempresarial esta expuesta a ataques informticos que la pueden alterar, destruir y borrar causando traumas al normal desempeo de los usuarios 0
Ausencia de sistemas y/o procedimientos de monitoreo de los recursos de procesamiento de informacin.
0 0 0 0 0 #N/A #N/A #N/A
0 0 0 0 0 #N/A #N/A #N/A
#N/A
#N/A
#N/A
#N/A
OPCIONES DE MANEJO
DESCRIPCIN DEL CONTROL
CONTROL ANEXO A ASOCIADO
RESPONSABLE DEL CONTROL
Reducir Reducir
Reducir
Reducir
Reducir
Reducir
Reducir
Reducir
Reducir
Reducir
Reducir Reducir
PLAN DE TRATAMIENTO (Acciones)
RESPONSABLE DE LA ACCIN
FECHA INICIO (aaaa/mm/dd)
FECHA FINAL (aaaa/mm/dd)
OTROS RECURSOS (rrhh, equipos, consultora, etc)
COSTO $
OBSERVACIONES
MAPA DE RIESGOS
PROCESO
TIPO DE ACTIVO
NOMBRE DEL ACTIVO
ID RIESGO
Gestin de Empleo, Orientacin Ocupacional y Empleabilidad
Oficinas
001
Gestin de la Innovacin y la Competitividad
002
003
Informacin de Gestin, Planeacin, operacin y seguimiento de los servicios TIC, gestin de mesa de servicio, supervisin de los contratos 646 y 649 y la gestin a la mejora continua de todos los servicios TIC del Complejo Tecnolgico para la Gestin Agroempresarial
004
Gestin de Formacin Profesional Integral
005
Gestin de Emprendimiento y Empresarismo
006
007
Gestin Documental
008
009
010
Direccionamiento Estratgico
011
Relacionamiento Empresarial y Gestin del Cliente
012
Gestin de Evaluacin y Control
013
Gestin de Infraestructura y Logistica 0
014
Gestin de Contratacin y Convenios 0
015
#N/A
#N/A
#N/A
016
#N/A
#N/A
#N/A
017
#N/A
#N/A
#N/A
018
#N/A
#N/A
#N/A
019
#N/A
#N/A
#N/A
020
TIPO DE RIESGO
DESCRIPCIN DEL RIESGO
R14. Destruccin, prdida, extravo, robo, dao o alteracin de informacin en medio fsico o lgico.
La Informacin del complejotecnolgico para la gestin agroempresarial esta expuesta a ataques informticos que la pueden alterar, destruir y borrar causando traumas al normal desempeo de los usuarios
#N/A
#N/A
#N/A
#N/A
#N/A
#N/A
#N/A
#N/A
#N/A
#N/A
CALIFICACIN DEL RIESGO

PROBABILIDAD IMPACTO EVALUACIN RIESGO INHERENTE CONTROL EXISTENTE
NUEVA CALIFICACIN DEL RIESGO

PROBABILIDAD IMPACTO
Probable
Moderado
20
Probable
Crtico
Raro
Crtico
20
Probable
Crtico
Probable
Moderado
20
Probable
Crtico
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
EVALUACIN RIESGO RESIDUAL
OPCIONES DE MANEJO
NOMBRE DEL CONTROL
CONTROL ANEXO A ASOCIADO
RESPONSABLE DEL CONTROL
40
Reducir
40
Reducir
40
Reducir
#REF!
Reducir
#REF!
Reducir
#REF!
Reducir
#REF!
Reducir
#REF!
Reducir
#REF!
Reducir
#REF!
Reducir
#REF!
Reducir
#REF!
Reducir
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
TIEMPO IMPLEMENTACIN PLAN DE TRATAMIENTO (Acciones) FECHA INICIO (aaaa/mm/dd) FECHA FINAL (aaaa/mm/dd)
RESPONSABLE DE LA ACCIN
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
INDICADOR DEL CONTROL
OBSERVACIONES
ACTIVOS
GRUPO DE ACTIVO
INFORMACIN Bases de Datos
TIPOS DE ACTIVOS DE INFORMACIN
Documentacin SOFTWARE Sistemas de Informacin
Herramienta Ofimtica HARDWARE Servidores y Equipos de Computo Equipos de Comunicacin Medios de Almacenamiento Removible Otros Equipos SERVICIOS Servicios de Outsourcing Servicios Ofrecidos por la Entidad Otros Servicios PERSONAS (Rol) Funcionarios de planta Contratistas Aprendices Mesas sectoriales Partes Interesadas (Empresarios, Entidades Pblicas) Proveedores INFRAESTRUCTURA Ambiente de Aprendizaje Centro de Computo / Centro de Datos Oficinas Archivo INTANGIBLE Imagen y reputacin
Ideas / Conocimiento
CATALOGO DE RIESGOS
TIPO DE RIESGOS
R1. Actos vandlicos y/o terrorismo R2. Hurto , fraude o sabotaje de equipos, medios, informacin o documentos. R3. Accin Industrial / Espionaje (infiltracin canales de comunicacin, servicios de informacin,
servicios informticos)
R4. Fuga, revelacin o divulgacin de informacin sensible y/o confidencial R5. Retraso o interrupcin de los sistemas de informacin y/o la informacin R6. Problemas, fallas o no disponibilidad de los servicios esenciales (internet, tlefonos, aire
acondicionado, energa, agua, etc)
R7. Prdida, alteracin, acceso no autorizado, divulgacin no autorizada y/o fuga de informacin
confidencial/sensible a travs del acceso a.
R8. Interrupcin total o parcial de los procesos del negocio por falla/dao/degradacin de los
equipos informticos, equipos de comunicaciones (dispositivos de red, planta telefonica, servidores, UPS, entre otros), debido a
R9. Incumplimiento contractual y/o sanciones. R10. Prdida de informacin debido a errores en la ejecucin del procedimiento de backup, fallas
en el software de backup.
R11. Prdida, alteracin, acceso no autorizado, divulgacin no autorizada y/o fuga de informacin
confidencial/sensible procesada y/o almacenada en
R12. Degradacin del rendimiento de las aplicaciones o la red R13. Sanciones por el uso de software ilegal o no licenciado. R14. Destruccin, prdida, extravo, robo, dao o alteracin de informacin en medio fsico o
lgico.
R15. Divulgacin no autorizada o fuga de informacin por la prdida/robo de equipos de cmputo

o medios removibles en los que se almacena informacin confidencial/sensible en texto claro.
R16. Prdida, robo, dao, alteracin, divulgacin no autorizada y/o fuga de informacin como
consecuencia del acceso fsico a las oficinas.
CATALOGO DE FUENTES O AGENTES GENERADORES - AMENAZAS
HARDWARE/SOFTWARE
Acceso no autorizado (a oficinas, edificio, sala, centro de computo, sistema de informacin, documentacin, informacin, entre otros). Ataque malicioso (explosivos, quimicos, vandalismo,hurto, radiacin electromagnetica, entre otros).
Ataques contra el sistema (negacin del servicio, manipulacin de software, manipulacin de equipo informtico entre otros)
Cdigo malicioso (troyanos, gusanos, bomba lgica, entre otros)
Dao fsico (fuego, agua, humedad, contaminacin qumica, construccin, entre otros) Destruccin de equipos o medios
Errores de transmision o almacenamiento
Falla / degradacin o mal funcionamiento del software o hardware
Falla de la red interna
Falla de suministro de servicios escenciales (agua, gas, aire acondicionado)
Falla en el suministro de energa (perdida suministro de energia,planta elctrica, UPS, banco de baterias)
Fuego, agua, humedad, variaciones de temperatura/voltaje, radioactividad, polvo, gases, oxidacin, campos electromagnticos, entre otros.
Hurto o robo (informacin, documentos, medios o equipos)
Incumplimiento en el mantenimiento Saturacin del sistema de informacin
Abuso de derechos (de usuario, administrador)
Uso de software no licenciado o no autorizado
Uso no autorizado de recursos (equipos de comunicacin,medios de almacenamiento, sistemas de informacin, computadores)
GENTES GENERADORES - AMENAZAS
INFORMACIN
Acceso no autorizado (a oficinas, edificio, sala, centro de computo, sistema de informacin, documentacin, informacin, entre otros). Actos fraudulentos (suplantacin, fraude, venta de informacin,soborno, extorsin, falsificacin de derechos, entre otros)
Ataque malicioso (explosivos, quimicos, vandalismo,hurto, radiacin electromagnetica, entre otros).
Cdigo malicioso (troyanos, gusanos, bomba lgica, entre otros)
Dao fsico (fuego, agua, humedad, contaminacin qumica, construccin, entre otros)
Deterioro del sistema o medio de almacenaje
Divulgacin no autorizada
Error en el uso (de equipos,medios, informacin, sistemas o servicios de informacin)
Hurto o robo (informacin, documentos, medios o equipos) Incumplimiento de leyes o regulaciones (propiedad intelectual, entre otros)
Incumplimiento de polticas o procedimientos internos.
Intrusin o acceso forzado (instalaciones, sistemas de informacin, informacin) Prdida de informacin (contenida en documentacin fsica o digital)
Recuperacin de medios reciclados o desechados Saturacin del sistema de informacin
PERSONAL
Acceso no autorizado (a oficinas, edificio, sala, centro de computo, sistema de informacin, documentacin, informacin, entre otros). Actos fraudulentos (suplantacin, fraude, venta de informacin,soborno, extorsin, falsificacin de derechos, entre otros)
Contaminacin, Pandemias, virus
Dficit de personal
Destruccin de equipos o medios
Divulgacin no autorizada
Empleados (Acciones involuntarias y/o deliberadas)
Error en el uso (de equipos,medios, informacin, sistemas o servicios de informacin)
Espionaje (interceptacin, ingeniera social)
Incumplimiento de polticas o procedimientos internos
Intrusin o acceso forzado (instalaciones, sistemas de informacin, informacin)
Intruso externo (Ej: Exempleados, delincuente informtico, competidores)
Piratera
Proveedor o contratista
INFRAESTRUCTURA
Dao fsico (ifuego, agua, humedad, contaminacin qumica, construccin, entre otros)
Desastre natural (temblor, terremoto, inundacin, incendio, rayos, contaminacin qumica entre otros)
Destruccin de equipos o medios
Fuego, agua, humedad, variaciones de temperatura/voltaje, radioactividad, polvo, gases, oxidacin, campos electromagnticos, entre otros.
Incumplimiento en el mantenimiento
SERVICIOS
Cierre de operacin de un proveedor o contratista crtico para la Entidad
INTANGIBLES
Falla de suministro de servicios escenciales (agua, gas, aire acondicionado)
Incumplimiento de leyes o regulaciones (propiedad intelectual, entre otros)
Falla en el suministro de energa (perdida suministro de energia,planta elctrica, UPS, banco de baterias) Incumplimiento de polticas o procedimientos internos
Falla sistema de comunicaciones (Internet, canales, Radio, entre otros). Incumplimiento de leyes o regulaciones (propiedad intelectual, entre otros)
Incumplimiento en el mantenimiento
Incumplimiento en el servicio de mantenimiento
Incumplimiento en los SLAs
CATALOGO DE CAUSAS O VULNERABILIDADES
HARDWARE
Acceso o uso no controlado.
Almacenamiento de equipos sin proteccin.
Arquitectura insegura de la red.
Ausencia de esquemas de respaldo.
Ausencia de segmentacion de la red.
Ausencia de sistemas y/o procedimientos de monitoreo de los recursos de procesamiento de informacin.
Ausencia o insuficiencia de control de cambios en la configuracin.
Ausencia o insuficiencia de mantenimiento.
Ausencia o insuficiencia de polticas, procedimientos y directrices de seguridad.
Ausencia o insuficiencia en el control de los activos que se encuentran fuera de la instalaciones.
Canales de comunicacin sin encripcin.
Capacidad inadecuada.
Conexin deficiente y/o desorganizacin del cableado estructurado / elctrico.
Configuracin incorrecta de parmetros o configuraciones por defecto.
Disposicin/reutilizacin de equipos sin borrado seguro.
Especificaciones o requerimientos incompletos, inadecuados o no claros.
Falla, dao o degradacin de equipos.
Incumplimiento de las condiciones tcnicas y/o ambientales provistas por el fabricante.
Puertos o servicios activos no requeridos.
Punto nico de falla.
Relojes no sincronizados.
ULNERABILIDADES
SOFTWARE
Acceso o uso no controlado del sistema de informacin (software, aplicativo).
Ausencia de logs o registros de auditora.
Ausencia o insuficiencia de procedimientos de control de cambios.
Ausencia o insuficiencia de actualizaciones.
Ausencia o insuficiencia de copias de respaldo.
Ausencia o insuficiencia de documentacin de uso y/o administracin.
Ausencia o insuficiencia de mecanismos de identificacin y autenticacin.
Ausencia o insuficiencia de perfiles de acceso o falta de gestin de privilegios de acceso.
Ausencia o insuficiencia de pruebas.
Ausencia o insuficiencia en la gestin de usuarios y contraseas.
Configuracin incorrecta de parmetros o configuracines por defecto.
Descarga y uso no controlado de software.
Documentacin insuficiente o desactualizada.
Eliminacin de informacin sin borrado seguro.
Especificaciones o requerimientos incompletos, inadecuados o no claros.
Fallas conocidas o defectos del software.
Puertos o servicios activos no requeridos.
Relojes no sincronizados.
Transferencia y/o almacenamiento de informacin en texto claro.
Uso de Software ilegal / No autorizado / Software Malicioso.
Disposicin/reutilizacin de medios de almacenamiento sin borrado seguro. Ausencia de "terminacin/bloqueo de la sesin" cuando se abandona la estacin de trabajo. Ausencia de sistemas y/o procedimientos de monitoreo de los recursos de procesamiento de informacin. Insuficiente entrenamiento, capacitacin o sensibilizacin.
INFORMACIN
Acceso no controlado a informacin sensible / confidencial.
Ausencia de control de los activos que se encuentran fuera de la instalaciones.
Ausencia o insuficiencia de contratos, acuerdos de nivel de servicio y/o confidencialidad con empleados o terceros.
Ausencia o insuficiencia de copias de respaldo.
Ausencia o insuficiencia de polticas, procedimientos y directrices de seguridad.
Ausencia o insuficiencia de procedimientos de monitoreo de los recursos de procesamiento de informacin.
Ausencia o insuficiencia de procedimientos para el manejo informacin clasificada.
Ausencia o insuficiencia de un proceso de anlisis y tratamiento de riesgos.
Ausencia o insuficiencia de un proceso para clasificar y etiquetar la informacin.
Descarga y/o uso no controlado de software.
Documentacion insuficiente o desactualizada.
Eliminacin de informacin sin borrado seguro.
Falta de segregacin de funciones o incorrecta aplicacin de las mismas.
Uso de Software iIegal / No autorizado / Software malicioso.
Transferencia y/o almacenamiento de informacin en texto claro.
Almacenamiento de informacin sin proteccin
Canales de comunicacin sin encripcin.
Ausencia o insuficiencia en el control de los activos que se encuentran fuera de la instalaciones.
Ausencia de procedimiento de control de cambios
Ausencia de procedimiento formal para la autorizacin de la informacin disponible al pblico
Insuficiente entrenamiento, capacitacin o sensibilizacin.
PERSONAL (ROL)
Acceso no controlado a informacin sensible / confidencial.
Ausencia de controles y verificaciones en los procesos de seleccin y contratacin de personal.
Ausencia de mecanismos de monitoreo a la actividad de los empleados y/o terceros.
Ausencia o insuficiencia de clausulas contratuales y/o acuerdos de confidencialidad.
Ausencia o insuficiencia de disposiciones (con respecto a la seguridad) en los contratos con los empleados y/o terceras partes.
Ausencia o insuficiencia de polticas, procedimientos y/o directrices de seguridad.
Ausencia o insuficiencia en la definicin y formalizacin de roles, funciones y responsabilidades en la seguridad de la informacin.
Dependencia de personal clave, ausentismo y/o personal insuficiente.
Desconocimiento, malinterpretacin o no cumplimiento de las disposiciones legales, contractuales y/o regulatorias aplicables.
Falta de segregacin de funciones o incorrecta aplicacin de las mismas.
Incumplimiento de polticas o procedimientos internos.
Insuficiente entrenamiento, capacitacin o sensibilizacin.
Personal inconforme o molesto
Ausencia o insuficiencia de procesos disciplinarios definidos en el caso de incidente de seguridad de la informacin.
INFRAESTRUCTURA FSICA
Ausencia o insuficiencia de controles de acceso a las instalaciones.
Ausencia o insuficiencia de controles de monitoreo de las instalaciones (por ej. deteccin o extincin de incendios, lquidos inflamables, CCTV, entre otros).
Ausencia o insuficiencia de mantenimiento preventivo / correctivo.
Ausencia o insuficiencia de planes de emergencia y simulacros de evacuacin.
Falla en los servicios esenciales (internet, telfonos, aire acondicionado, energa, agua, etc).
Ubicacin geografica de las instalaciones en una zona de alto impacto por eventos externos (desastres naturales, orden pblico, entre otros).
Ausencia de planes de continuidad.
SERVICIOS
Ausencia o insuficiencia de contratos, acuerdos de niveles de servicio y/o confidencialidad.
INTANGIBLES
Dependencia de proveedores.
Ausencia de resposanbles sobre la gestin en seguridad de la informacin y/o continuidad de negocio.
Proveedor o contratista nico en el mercado.
Ausencia o insuficiencia de un procedimiento para el manejo de comunicaciones externas.
Proveedor, contratista y/o cliente sin el suficiente respaldo tcnico.
Ausencia o insuficiencia de un proceso de gestin de incidentes de seguridad.
PROBABILIDAD
NIVEL DESCRIPTOR Escala cualitativa
Casi.Seguro
El evento puede ocurrir o se tiene la suficiente informacin para determinar que existe una alta probabilidad de ocurrencia.
Probable
Existe alguna posibilidad o se tiene la suficiente informacin para determinar que el evento puede ocurrir.
Raro
El evento puede ocurrir slo en circunstancias excepcionales o no existe la suficiente informacin para determinar que pueda ocurrir.
PROBABILIDAD
Escala cuantitativa
Cuando se establece que el nivel de cumplimiento es menor al 30% frente a normas, procedimientos internos, controles seleccionados, mejores prcticas, entre otros. Cuando se tiene un histrico de ocurrencia del evento y este se ha presentado ms de tres (3) veces al ao. Cuando se establece que el nivel de cumplimiento est entre el 30% y el 70% frente a normas, procedimientos internos, controles seleccionados, mejores prcticas, entre otros. Cuando se tiene un histrico de ocurrencia del evento y este se ha presentado entre dos (2) y tres (3) veces al ao. Cuando se establece que el nivel de cumplimiento es mayor al 70% frente a normas, procedimientos internos, controles seleccionados, mejores prcticas, entre otros. Cuando se tiene un histrico de ocurrencia del evento y este no se ha presentado o se ha presentado una (1) vez al ao.
IMP
Col um na1
NIVEL
Tipo de Impacto
FINANCIERO
Mayor a $60.000.001.
Crtico
20
Perdida econmica al 10% del presupuesto asignado al proceso/Centro de Formacin.
Mayor a $10.000.001 y hasta $60.000.000.
Moderado
10
Perdida econmica al 1 % y < al 10% depresupuesto asignado al proceso/Centro de Formacin.
Insignificante
Hasta $10.000.000. Perdida econmica menor al 1% del presupuesto asignado al proceso / Centro de Formacin.
IMPACTO
REPUTACION
Concepto desfavorable con difusin a nivel nacional. Afecta a un grupo significativo de la comunidad educativa (por ejemplo varias reas, dependencias, los aprendices o funcionarios de toda la Entidad). Divulgacin del evento a travs de mltiples medios de comunicacin (prensa, noticieros, internet) a nivel nacional por ms de tres (3) das.
Concepto desfavorable con difusin dentro del Centro de Formacin, Regional, Direccin General o a nivel local. Afecta a un grupo importante de la comunidad educativa (por ejemplo los aprendices, funcionarios de uno o varios Centros de Formacin / Dependencias) Divulgacin del evento a travs de mltiples medios y noticieros a nivel nacional por un periodo comprendido entre un (1) da y hasta tres (3) das.
Concepto desfavorable con difusin dentro del rea o dependencia. No afecta a la comunidad educativa o afecta a un nmero muy reducido de la comunidad educativa (por ej. rea, dependencia). No hay divulgacin del evento.
PACTO
REGULATORIO Y LEGAL
Demandas econmicas provenientes del incumplimiento de las obligaciones contractuales o actividades de la Entidad.
Acciones por parte del ente de control/regulador que puede incluir procesos administrativos, sanciones a funcionarios y/o intervenciones a la Entidad.
Reclamaciones a la Entidad por parte de proveedores y contratistas por incumplimiento de las clusulas establecidas en los contratos que generen un plan de accin a corto plazo.
El ente de control/regulador realiza observaciones u hallazgos negativos.
Reclamaciones al rea / Centro de Formacin/Regional por parte de proveedores y contratistas por incumplimiento de las clusulas establecidas en los contratos que generen un plan de accin a corto plazo. No hay observaciones u hallazagos por parte del ente de control/regulador.
OPERACIONES
Interrupcin o afectacin de las actividades ocasionando retraso en las labores del rea/proceso por un tiempo un (1) da. Prdida de informacin crtica para el proceso o rea no reconstruible ni recuperable. Afectacin mayor al 10% de usuarios/aprendices/ etc. segn aplique.
Interrupcin o afectacin de las actividades ocasionando retraso en las labores del rea/proceso por un tiempo a una (1) hora y < a un (1) da. Perdida de informacin crtica para el proceso o rea reconstruible o recuperable mnimo en un (1) da. Afectacin al 1% y < al 10% de usuarios/aprendices/ etc. segn aplique
No hay interrupcin o afectacin de las actividades o la interrupcin ocasiona retrasos en las labores del rea / proceso por un tiempo menor a una (1) hora. No hay perdida de informacin crtica para el proceso o rea o es reconstruible/recuperable mnimo en una (1) hora. Afectacin menor al 1 % de usuarios/aprendices/ etc. segn aplique
EVALUACIN DE LOS CONTROLES

PARMETROS Correctivo TIPO Preventivo N.A Manual Automtico NATURALEZA Combinado N.A No documentado Documentado OFICIALIDAD Aprobado Divulgado N.A < 10% de las causas o impactos Entre el 11% y el 70% de causas o impactos CUBRIMIENTO > al 70% de causas o impactos N.A EFECTIVIDAD
En el tiempo que lleva el control ha demostrado ser efectivo
CRITERIOS
Si No N.A o No ha sido aplicado
Rangos de Calificacin de los Controles
Cuadrantes a diminuir en la probabilidad (control preventivo)
Entre 0 - 85 Entre 86 - 75
Se mantiene el resultado de la evaluacin del riesgo (inherente) Baja 1 Nivel
N DE LOS CONTROLES
PUNTAJE 5 20 0 5 20 15 0 0 5 10 20 0 5 10 20 0 20 0 0
PROBABILIDAD
VALOR
(15) Zona de Riesgo Moderada Aceptar (Asumir el riesgo)
ZONAS DE RIESGO Y CALIFICACIN
Casi seguro
3
(10) Zona de Riesgo Baja Aceptar (Asumir el riesgo)
Probable
2
(5) Zona de Riesgo Leve Aceptar (Asumir el riesgo)
Raro
Insignificante 5
IMPACTO
ZONAS DE RIESGO Y CALIFICACIN

(30) Zona de Riesgo Importante Reducir, Evitar, Compartir o Transferir el riesgo (60) Zona de Riesgo Exrema Reducir, Evitar, Compartir o Transferir el riesgo
(40) Zona de Riesgo Importante Reducir, Evitar, Compartir o Transferir el riesgo
(10) Zona de Riesgo Baja Aceptar (Asumir el riesgo)
Moderado 10
Crtico 20
IMPACTO
DOMINIOS Y OBJETIVOS DE CONTROL

5. POLTICA DE SEGURIDAD. 5.1 Poltica de seguridad de la informacin. 5.1 Poltica de seguridad de la informacin. 6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMAC. 6.1 Organizacin interna. 6.1 Organizacin interna. 6.1 Organizacin interna. 6.1 Organizacin interna. 6.1 Organizacin interna. 6.1 Organizacin interna. 6.1 Organizacin interna. 6.1 Organizacin interna. 6.2 Terceros. 6.2 Terceros. 6.2 Terceros. 7. GESTIN DE ACTIVOS. 7.1 Responsabilidad sobre los activos. 7.1 Responsabilidad sobre los activos. 7.1 Responsabilidad sobre los activos. 7.2 Clasificacin de la informacin. 7.2 Clasificacin de la informacin. 8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS. 8.1 Antes del empleo. 8.1 Antes del empleo. 8.1 Antes del empleo. 8.2 Durante el empleo. 8.2 Durante el empleo. 8.2 Durante el empleo. 8.3 Cese del empleo o cambio de puesto de trabajo. 8.3 Cese del empleo o cambio de puesto de trabajo. 8.3 Cese del empleo o cambio de puesto de trabajo. 9. SEGURIDAD FSICA Y DEL ENTORNO. 9.1 reas seguras. 9.1 reas seguras. 9.1 reas seguras. 9.1 reas seguras. 9.1 reas seguras. 9.1 reas seguras. 9.2 Seguridad de los equipos. 9.2 Seguridad de los equipos. 9.2 Seguridad de los equipos. 9.2 Seguridad de los equipos. 9.2 Seguridad de los equipos. 9.2 Seguridad de los equipos. 9.2 Seguridad de los equipos. 10. GESTIN DE COMUNICACIONES Y OPERACIONES.
10.1 Responsabilidades y procedimientos de operacin. 10.1 Responsabilidades y procedimientos de operacin. 10.1 Responsabilidades y procedimientos de operacin. 10.1 Responsabilidades y procedimientos de operacin. 10.2 Gestin de la provisin de servicios por terceros. 10.2 Gestin de la provisin de servicios por terceros. 10.2 Gestin de la provisin de servicios por terceros. 10.3 Planificacin y aceptacin del sistema. 10.3 Planificacin y aceptacin del sistema. 10.4 Proteccin contra el cdigo malicioso y descargable. 10.4 Proteccin contra el cdigo malicioso y descargable. 10.5 Copias de seguridad. 10.6 Gestin de la seguridad de las redes. 10.6 Gestin de la seguridad de las redes. 10.7 Manipulacin de los soportes. 10.7 Manipulacin de los soportes. 10.7 Manipulacin de los soportes. 10.7 Manipulacin de los soportes. 10.8 Intercambio de informacin. 10.8 Intercambio de informacin. 10.8 Intercambio de informacin. 10.8 Intercambio de informacin. 10.8 Intercambio de informacin. 10.9 Servicios de comercio electrnico. 10.9 Servicios de comercio electrnico. 10.9 Servicios de comercio electrnico. 10.10 Supervisin. 10.10 Supervisin. 10.10 Supervisin. 10.10 Supervisin. 10.10 Supervisin. 10.10 Supervisin. 11. CONTROL DE ACCESO. 11.1 Requisitos de negocio para el control de acceso. 11.2 Gestin de acceso de usuario. 11.2 Gestin de acceso de usuario. 11.2 Gestin de acceso de usuario. 11.2 Gestin de acceso de usuario. 11.3 Responsabilidades de usuario. 11.3 Responsabilidades de usuario. 11.3 Responsabilidades de usuario. 11.4 Control de acceso a la red. 11.4 Control de acceso a la red. 11.4 Control de acceso a la red. 11.4 Control de acceso a la red. 11.4 Control de acceso a la red. 11.4 Control de acceso a la red.
11.4 Control de acceso a la red. 11.5 Control de acceso al sistema operativo. 11.5 Control de acceso al sistema operativo. 11.5 Control de acceso al sistema operativo. 11.5 Control de acceso al sistema operativo. 11.5 Control de acceso al sistema operativo. 11.5 Control de acceso al sistema operativo. 11.6 Control de acceso a las aplicaciones y a la informacin. 11.6 Control de acceso a las aplicaciones y a la informacin. 11.7 Ordenadores porttiles y teletrabajo. 11.7 Ordenadores porttiles y teletrabajo. 12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACION 12.1 Requisitos de seguridad de los sistemas de informacin. 12.2 Tratamiento correcto de las aplicaciones. 12.2 Tratamiento correcto de las aplicaciones. 12.2 Tratamiento correcto de las aplicaciones. 12.2 Tratamiento correcto de las aplicaciones. 12.3 Controles criptogrficos. 12.3 Controles criptogrficos. 12.4 Seguridad de los archivos de sistema. 12.4 Seguridad de los archivos de sistema. 12.4 Seguridad de los archivos de sistema. 12.5 Seguridad en los procesos de desarrollo y soporte. 12.5 Seguridad en los procesos de desarrollo y soporte. 12.5 Seguridad en los procesos de desarrollo y soporte. 12.5 Seguridad en los procesos de desarrollo y soporte. 12.5 Seguridad en los procesos de desarrollo y soporte. 12.6 Gestin de la vulnerabilidad tcnica. 13. GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN. 13.1 Notificacin de eventos y puntos dbiles de seguridad de la informacin. 13.1 Notificacin de eventos y puntos dbiles de seguridad de la informacin. 13.2 Gestin de incidentes y mejoras de seguridad de la informacin. 13.2 Gestin de incidentes y mejoras de seguridad de la informacin. 13.2 Gestin de incidentes y mejoras de seguridad de la informacin. 14. GESTIN DE LA CONTINUIDAD DEL NEGOCIO. 14.1 Aspectos de seguridad de la informacin en la gestin de la continuidad del negocio. 14.1 Aspectos de seguridad de la informacin en la gestin de la continuidad del negocio. 14.1 Aspectos de seguridad de la informacin en la gestin de la continuidad del negocio. 14.1 Aspectos de seguridad de la informacin en la gestin de la continuidad del negocio. 14.1 Aspectos de seguridad de la informacin en la gestin de la continuidad del negocio. 15. CUMPLIMIENTO. 15.1 Cumplimiento de los requisitos legales. 15.1 Cumplimiento de los requisitos legales.
15.1 Cumplimiento de los requisitos legales. 15.1 Cumplimiento de los requisitos legales. 15.1 Cumplimiento de los requisitos legales. 15.1 Cumplimiento de los requisitos legales. 15.2 Cumplimiento de las polticas y normas de seguridad y cumplimiento tcnico. 15.2 Cumplimiento de las polticas y normas de seguridad y cumplimiento tcnico. 15.3 Consideraciones sobre las auditoras de los sistema. de informacin. 15.3 Consideraciones sobre las auditoras de los sistema. de informacin.
CONTROL
5.1.1 Documento de poltica de seguridad de la informacin. 5.1.2 Revisin de la poltica de seguridad de la informacin. 6.1.1 Compromiso de la Direccin con la seguridad de la informacin. 6.1.2 Coordinacin de la seguridad de la informacin. 6.1.3 Asignacin de responsabilidades relativas a la seg. de la informac. 6.1.4 Proceso de autorizacin de recursos para tratamiento de la informacin 6.1.5 Acuerdos de confidencialidad. 6.1.6 Contacto con las autoridades. 6.1.7 Contacto con grupos de especial inters. 6.1.8 Revisin independiente de la seguridad de la informacin. 6.2.1 Identificacin de los riesgos derivados del acceso de terceros. 6.2.2 Tratamiento de la seguridad en la relacin con los clientes. 6.2.3 Tratamiento de la seguridad en contratos con terceros. 7.1.1 Inventario de activos. 7.1.2 Propiedad de los activos. 7.1.3 Uso aceptable de los activos. 7.2.1 Directrices de clasificacin. 7.2.2 Etiquetado y manipulado de la informacin. 8.1.1 Funciones y responsabilidades. 8.1.2 Investigacin de antecedentes. 8.1.3 Trminos y condiciones de contratacin. 8.2.1 Responsabilidades de la Direccin. 8.2.2 Concienciacin, formacin y capacitacin en seg. de la informacin 8.2.3 Proceso disciplinario. 8.3.1 Responsabilidad del cese o cambio. 8.3.2 Devolucin de activos. 8.3.3 Retirada de los derechos de acceso. 9.1.1 Permetro de seguridad fsica. 9.1.2 Controles fsicos de entrada. 9.1.3 Seguridad de oficinas, despachos e instalaciones. 9.1.4 Proteccin contra las amenazas externas y de origen ambiental. 9.1.5 Trabajo en reas seguras. 9.1.6 reas de acceso pblico y de carga y descarga. 9.2.1 Emplazamiento y proteccin de equipos. 9.2.2 Instalaciones de suministro. 9.2.3 Seguridad del cableado. 9.2.4 Mantenimiento de los equipos. 9.2.5 Seguridad de los equipos fuera de las instalaciones. 9.2.6 Reutilizacin o retirada segura de equipos. 9.2.7 Retirada de materiales propiedad de la empresa.
10.1.1 Documentacin de los procedimientos de operacin. 10.1.2 Gestin de cambios. 10.1.3 Segregacin de tareas. 10.1.4 Separacin de los recursos de desarrollo, prueba y operacin. 10.2.1 Provisin de servicios. 10.2.2 Supervisin y revisin de los servicios prestados por terceros. 10.2.3 Gestin del cambio en los servicios prestados por terceros. 10.3.1 Gestin de capacidades. 10.3.2 Aceptacin del sistema. 10.4.1 Controles contra el cdigo malicioso. 10.4.2 Controles contra el cdigo descargado en el cliente. 10.5.1 Copias de seguridad de la informacin. 10.6.1 Controles de red. 10.6.2 Seguridad de los servicios de red. 10.7.1 Gestin de soportes extrables. 10.7.2 Retirada de soportes. 10.7.3 Procedimientos de manipulacin de la informacin. 10.7.4 Seguridad de la documentacin del sistema. 10.8.1 Polticas y procedimientos de intercambio de informacin. 10.8.2 Acuerdos de intercambio. 10.8.3 Soportes fsicos en trnsito. 10.8.4 Mensajera electrnica. 10.8.5 Sistemas de informacin empresariales. 10.9.1 Comercio electrnico. 10.9.2 Transacciones en lnea. 10.9.3 Informacin pblicamente disponible. 10.10.1 Registros de auditora. 10.10.2 Supervisin del uso del sistema. 10.10.3 Proteccin de la informacin de los registros. 10.10.4 Registros de administracin y operacin. 10.10.5 Registro de fallos. 10.10.6 Sincronizacin del reloj. 11.1.1 Poltica de control de acceso. 11.2.1 Registro de usuario. 11.2.2 Gestin de privilegios. 11.2.3 Gestin de contraseas de usuario. 11.2.4 Revisin de los derechos de acceso de usuario. 11.3.1 Uso de contraseas. 11.3.2 Equipo de usuario desatendido. 11.3.3 Poltica de puesto de trabajo despejado y pantalla limpia. 11.4.1 Poltica de uso de los servicios en red. 11.4.2 Autenticacin de usuario para conexiones externas. 11.4.3 Identificacin de los equipos en las redes. 11.4.4 Proteccin de los puertos de diagnstico y configuracin remotos. 11.4.5 Segregacin de las redes. 11.4.6 Control de la conexin a la red.
11.4.7 Control de encaminamiento (routing) de red. 11.5.1 Procedimientos seguros de inicio de sesin. 11.5.2 Identificacin y autenticacin de usuario. 11.5.3 Sistema de gestin de contraseas. 11.5.4 Uso de los recursos del sistema. 11.5.5 Desconexin automtica de sesin. 11.5.6 Limitacin del tiempo de conexin. 11.6.1 Restriccin del acceso a la informacin. 11.6.2 Aislamiento de sistemas sensibles. 11.7.1 Ordenadores porttiles y comunicaciones mviles. 11.7.2 Teletrabajo. 12.1.1 Anlisis y especificacin de los requisitos de seguridad. 12.2.1 Validacin de los datos de entrada. 12.2.2 Control del procesamiento interno. 12.2.3 Integridad de los mensajes. 12.2.4 Validacin de los datos de salida. 12.3.1 Poltica de uso de los controles criptogrficos. 12.3.2 Gestin de claves. 12.4.1 Control del software en explotacin. 12.4.2 Proteccin de los datos de prueba del sistema. 12.4.3 Control de acceso al cdigo fuente de los programas. 12.5.1 Procedimientos de control de cambios. 12.5.2 Revisin tcnica de las aplicaciones tras efectuar cambios en el sistema operativo. 12.5.3 Restricciones a los cambios en los paquetes de software. 12.5.4 Fugas de informacin. 12.5.5 Externalizacin del desarrollo de software. 12.6.1 Control de las vulnerabilidades tcnicas. 13.1.1 Notificacin de los eventos de seguridad de la informacin. 13.1.2 Notificacin de puntos dbiles de seguridad. 13.2.1 Responsabilidades y procedimientos. 13.2.2 Aprendizaje de los incidentes de seguridad de la informacin. 13.2.3 Recopilacin de evidencias. 14.1.1 Inclusin de la seguridad de la informacin en el proceso de gestin de la continuidad del negocio. 14.1.2 Continuidad del negocio y evaluacin de riesgos. 14.1.3 Desarrollo e implantacin de planes de continuidad que incluyan la seguridad de la informacin. 14.1.4 Marco de referencia para la planificacin de la cont. del negocio. 14.1.5 Pruebas, mantenimiento y revaluacin de planes de continuidad.
TEMAS DE INFORMACION
15.1.1 Identificacin de la legislacin aplicable. 15.1.2 Derechos de propiedad intelectual (DPI).
15.1.3 Proteccin de los documentos de la organizacin. 15.1.4 Proteccin de datos y privacidad de la informacin de carcter personal. 15.1.5 Prevencin del uso indebido de recursos de tratamiento de la informacin. 15.1.6 Regulacin de los controles criptogrficos. 15.2.1 Cumplimiento de las polticas y normas de seguridad. 15.2.2 Comprobacin del cumplimiento tcnico. 15.3.1 Controles de auditora de los sistemas de informacin. 15.3.2 Proteccin de las herramientas de auditora de los sist. de inform.

F001-P000-GTI Matriz Identificacion Riesgos SI

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

F001-P000-GTI Matriz Identificacion Riesgos SI

Caricato da

Copyright:

Formati disponibili

TIPO DE ACTIVO

Gestin de Empleo, Orientacin Ocupacional y Empleabilidad

Gestin de la Innovacin y la Competitividad

Gestin del Talento Humano

Gestin de Tecnologias de la Informacin

Gestin de Formacin Profesional Integral

Gestin de Emprendimiento y Empresarismo

Gestin de Recursos Financieros

Gestin por Competencias para las Cualificaciones

Relacionamiento Empresarial y Gestin del Cliente

Gestin de Evaluacin y Control

Gestin de Infraestructura y Logistica

Gestin de Contratacin y Convenios

DECRIPCION DEL ACTIVO

SERVICIO NACIO SISTEMA IN

MATRIZ DE IDENTIFICACIN Y VALORACI

FUENTE O AGENTE GENERADOR (Amenaza)

Z DE IDENTIFICACIN Y VALORACIN DE RIESGOS DE SEGURIDAD DE LA INFORMACION

DESCRIPCIN DEL RIESGO

Versin: Fecha: Cdigo:

NUEVA CALIFICACIN DEL RIESGO PROBABILIDAD

Gestin de Empleo, Orientacin Ocupacional y Empleabilidad Gestin de la Innovacin y la Competitividad

Gestin del Talento Humano

Gestin de Tecnologias de la Informacin

Gestin de Formacin Profesional Integral Gestin de Emprendimiento y Empresarismo

Gestin de Recursos Financieros

Gestin por Competencias para las Cualificaciones

011 012 013 014 015 016 017 018

0 0 0 0 0 #N/A #N/A #N/A

NOMBRE DEL ACTIVO

0 0 0 0 0 #N/A #N/A #N/A

0 0 0 0 0 #N/A #N/A #N/A

DESCRIPCION DEL RIESGO

Ausencia de sistemas y/o procedimientos de monitoreo de los recursos de procesamiento de informacin.

0 0 0 0 0 #N/A #N/A #N/A

0 0 0 0 0 #N/A #N/A #N/A

DESCRIPCIN DEL CONTROL

CONTROL ANEXO A ASOCIADO

RESPONSABLE DEL CONTROL

PLAN DE TRATAMIENTO (Acciones)

FECHA INICIO (aaaa/mm/dd)

FECHA FINAL (aaaa/mm/dd)

OTROS RECURSOS (rrhh, equipos, consultora, etc)

NOMBRE DEL ACTIVO

Gestin de Empleo, Orientacin Ocupacional y Empleabilidad

Gestin de la Innovacin y la Competitividad

Gestin del Talento Humano

Gestin de Tecnologias de la Informacin

Gestin de Formacin Profesional Integral

Gestin de Emprendimiento y Empresarismo

Gestin de Recursos Financieros

Gestin por Competencias para las Cualificaciones

Relacionamiento Empresarial y Gestin del Cliente

Gestin de Evaluacin y Control

Gestin de Infraestructura y Logistica 0

Gestin de Contratacin y Convenios 0

DESCRIPCIN DEL RIESGO

CALIFICACIN DEL RIESGO

NUEVA CALIFICACIN DEL RIESGO

EVALUACIN RIESGO RESIDUAL

NOMBRE DEL CONTROL

CONTROL ANEXO A ASOCIADO

RESPONSABLE DEL CONTROL

INDICADOR DEL CONTROL